Ist Portforwarding noch sicher?
Hallo,
ich hatte hier
https://www.gutefrage.net/frage/wie-kann-ich-nur-bestimmte-ips-im-vpn-freigeben
gefragt, wie ich nur bestimmte IPs im VPN freigebe. Das bin ich mir auch noch am anschauen um das umzusetzen.
Hintergrund ist, dass auf meiner NAS Fotos liegen, wo andere drauf zugreifen sollen dürfen.
Um aber erstmal schnell eine Lösung zu bekommen,
Wie sicher ist heutzutage denn noch Portforwarding? Dies würde ja nur für die NAS eingerichtet werden könnnen.
Oder ist das heutzutage schon zu unsicher?
4 Antworten
Ein geforwardeter Port ist weder gut noch schlecht - er ist halt vorhanden. Dann liegt es an dir, wie du das Loch (das du selbst geöffnet hast) absicherst. Das ist aber keine Hexerei, sondern ein ganz normaler Vorgang, der millionenfach verwendet wird.
Soll der Zugriff über ein VPN erfolgen (das ist ein verschlüsselter Tunnel), dann muss der Port vom VPN aus erreichbar sein - also auch geforwarded.
Soll aber der Port direkt aus dem Internet erreichbar sein, dann musst du selbst für die entsprechenden Verschlüsselungen und Absicherungen sorgen.
Keines ist besser oder schlechter, aber da spielen auch Geschichten wie statische und dynamische IPs rein usw.
Daher mein unbedingter Vorschlag:
- lerne erstmal, was Routing, Ports, NAT, Port-Forwarding und solche Sachen sind. Da geht es auch um Firewall-Technik. Das ist z.B. ein Fach von FiSi
- spiel dir auf keinen Fall einen Drei-Klick-Assistenten ein und vertrau drauf, solange du nicht SELBST weißt, was der macht. Du hast keine Ahnung, was der Herausgeber für Hintergedanken hat und wirst das im ungünstigen Fall zu spät rausfinden.
Wie sicher ist heutzutage denn noch Portforwarding? Dies würde ja nur für die NAS eingerichtet werden könnnen.
Eine Port-Freigabe ist erstmal weder unsicher noch sicher. Sie leitet einfach nur die Anfragen auf Port X zu Port Y des angegebenen Ziels weiter.
Die Sicherheit ist primär vom Zielsystem und der lauschenden Anwendung abhängig.
Eine Netzwerkfreigabe würde ich jetzt nicht unbedingt global freigeben wollen.
Hintergrund ist, dass auf meiner NAS Fotos liegen, wo andere drauf zugreifen sollen dürfen.
Du könntest eine Anwendung wie Nextcloud oder Immich nutzen und darüber Freigaben erstellen. Das ganze gibst du nur per HTTPS frei (oder lässt automatisch von HTTP auf HTTPS weiterleiten), sodass die Kommunikation auch verschlüsselt ist und nicht im Klartext abgefangen werden kann. Eventuell schaust du dir hierfür noch einen Reverse Proxy an.
Wichtig ist natürlich, dass du die Systeme immer aktuell hältst. Ein Risiko besteht jedoch immer.
Am besten sind diese öffentlichen Systeme noch in eigenen Subnetzen ohne Zugriff aufs Hauptnetz (Stichwort DMZ)
Du leitest dadurch bestimmte Ports von 'a' nach 'b' einfach durch, was imho sicherheitsrelevant werden kann.
Je nach NAS-Anbieter kann man entweder SmartShare (Qnap) oder QuickConnect (Synology) zum Teilen von Daten mit anderen verwenden. Dafür ist keine Portweiterleitung notwendig und die Daten werden verschlüsselt übermittelt.
Am sichersten ist jedoch die Verwendung von einem VPN-Server in seinem Router. FritzBox z.B. bietet die Möglichkeit den Wireguard zu aktivieren und eine sichere Tunnelverbindung in das Hausnetzwerk zu gewähren.
Darüber hinaus sollten Backups von den Daten gemacht werden.
Also ich mache das per Reverse Proxy, da mir die Portfreigabe auch schon zu "unsicher" war.
Ist natürlich aber auch unsicherer, als jetzt der VPN-Zugriff.
Aber erklär mal der "Oma", dass sie erst eine VPN-Verbindung braucht um sich Bilder anschauen zu können, statt einfach eine URL aufzurufen, ohne lästige Ports hinten dranhängen zu müssen.